ウェブ脆弱性診断では、攻撃者の視点に立ち調査。セキュリティ上の問題点を検査するサービスです。
専門の診断技術者により、どのようなウェブサイトにも柔軟に対応し、精度の高い診断を行います。
ウェブの脆弱性を介した情報漏洩など大きな問題への発生・発展防止、ウェブサイトの機能停止等、あらゆるリスクを低減させるための診断及び提案を行います。
これらのサービスは、インターネット経由により診断を実施します。
動的ウェブサイトが比較的単純なウェブサイト向けのプラン。
脆弱性診断ツールによる診断を中心に行います。診断結果について専門家が精査を行い、現実的なセキュリティリスクを精査いたします。
低コスト・短期間で診断を行いたい場合に適したプランです。
標準診断
ボリューム
業務の流れに合わせた診断を行います。
脆弱性診断ツールに加えて、ウェブサイトの機能を専門家が把握。そなわっている機能のフローに合わせて診断シナリオを作成いたします。
脆弱性診断ツールでは難しい認証関係の脆弱性や業務フローに穴はないかなど、難易度の高い診断を行います。
標準診断
ボリューム
標準診断
ボリューム
1報告書説明会
専門家から直接説明を受けたい場合、訪問もしくはリモートでのミーティングで内容を解説いたします。
上司や関係各所への説明をご担当者様と一緒に行います。
2診断結果を受けて指摘箇所の再検
診断結果で指摘を受けた後改修を行い、再度脆弱性が確認されるかどうかをチェックいたします。
3コンサルティング業務
報告を踏まえて今後の方針についてコンサルティングいたします。
どこをどのように修正していくべきか、再構築含めて根本から設計を見直すべきなのかなど、専門家による御社のシステム環境構築を支援いたします。
お問い合わせ
ヒアリング MTG
お申込み
事前調整
脆弱性診断
は、ライトプランでは難しいです。
最初にシステム環境調査を行います。
脆弱性診断ツールを使うにあたり、各種設定が必要となります。そのため、現行サイトのシステムから見た環境を把握する必要があるため、できる限りシステム環境の情報を提供できるよう社内で調整し、おまとめいただきます。その上ヒアリングによる調査を行います。設定を行います。
診断対象となるウェブサイト(IPアドレス)のサービスそのものの脆弱性はもちろん、通信プロトコル上の脆弱性も調査いたします。
もしすでにOSやソフトウェアなどの脆弱性を把握されている場合、その脆弱性も確認できるかどうか調査いたします。
例えば、クエリーパラメーターやPOSTデータ等入力ポイントを確認し、インジェクション攻撃による脆弱性を調査します。
アクションに反応する応答データ等に関するセキュリティの設定チェックも行います。
診断ツールの結果に関しては精査を行い、誤検知の有無を判断いたします。
環境などによるノイズデータはどうしても発生してしまうため、結果報告書にその内容を含めて取りまとめます。
スタンダードプランの場合、シナリオを作成し⼿動診断を行います。
⾃動診断だけでは難しい認証・認可制御の機能やビジネスロジックの⽋陥などを検出いたします。
また、第三者の視点にたち、出力結果に応じてページの関連性など確認しながら脆弱性を検査していく場合もございます。
報告書例
まずはお気軽にご相談ください。
ペネトレーションテストは、「侵入テスト」を意味ます。お客様の承認の元、ハッキング技術やツールを使い、攻撃者の視点からシステムの脆弱性を探り出し、システム全体の観点からサイバー攻撃の耐性がどの程度あるのかをテストするサービスです。
EXAMPLE1
ウェブのデータを
改ざんしてみる
EXAMPLE2
サーバをダウンさせる
アタックを仕掛ける
EXAMPLE3
プログラムを別のプログラムに改ざんし
情報を取得してみる
EXAMPLE4
脆弱性診断で指摘された
箇所から侵入してみる
EXAMPLE5
外部からプログラムを
インストールしてみる
STEP01
ペネトレーションテストに必要な情報を調査いたします。
ネットワーク・システム・プログラムに関する各種情報を開示いただき、内容によってはミーティングによる直接ヒアリングも行います。
STEP02
まずは脆弱性の調査を行います。脆弱性の専門ツールを使用した調査と、専門家による調査を行います。
脅威の要因を発見後、その脆弱性箇所からシステム内部への侵入の要因になるものをピックアップしまとめます。
STEP03
実際の侵入テストを行います。
本来外部からアクセスできない内部システムに対して、第三者視点としてハッカーを想定し、様々な攻撃手法を駆使しながら侵入テストを行います。
STEP04
診断の結果は、その内容を精査した後、対策案も提案する形で報告書としてまとめ、提出いたします。